La normativa única de protección de datos, el gran reto de Europa
Especial desde Bruselas
Europa quiere ser un referente, quiere que sus ciudadanos tengan total control sobre sus datos personales y facilitar el acceso a los mismos, sin distinciones de ningún tipo. El objetivo, fortalecer la debilitada confianza para con ello, impulsar la industria.
La propuesta de la Comisión Europa pasa por la creación de una única norma paneuropea que regule todo lo relativo a la privacidad y protección de datos en el entorno digital. Se acabaron las diferentes interpretaciones de una ley y las diferentes formas de resolver un mismo problema. Las autoridades quieren tejer una norma sólida y lo suficientemente imprecisa para que acate los cambios venideros del impredecible mercado.
Es un proyecto de gran trascendencia que sólo ha recorrido la mitad del camino y que por tanto tiene aún muchos cabos sueltos, que se concretarán cuando todas las partes afectadas lleguen a un consenso. Para empezar, y como toda reglamentación que se precie, hay que conseguir el sí en el Parlamento Europeo. Axel Voss, miembro del órgano admite en Bruselas que “hay algunos detalles que se están discutiendo”, como el establecimiento de los límites del sector público y el privado, pero admite que la actitud general ha sido de apoyo.
Una ley por y para Europa
Las leyes que rigen esta temática en la actualidad datan de 1995, cuando un 1% de la población europea tenía acceso a la red. El panorama hoy es bien diferente: prácticamente el 97% de los 500 millones de ciudadanos europeos tiene acceso a internet. La globalización y la proliferación de medios sociales, además, dibujan un nuevo ecosistema que necesita de una regulación específica que debe atender a la protección de los derechos de los ciudadanos sin dañar la confianza de la industria que opera con sus datos privados.
Aún hay muchos aspectos por concretar y muchas horas de negociación por delante. Se espera que la norma llegue definitivamente en verano de 2014. Y es que son 27 los países los que deben aceptar las nuevas reglas, y con ellos la industria que opera en sus territorios. Es una tarea compleja; los gigantes como Google o Facebook por ejemplo, deberán adaptar su modus operandi a esta nueva regulación totalmente diferente a la norteamericana (más laxa en cuanto a protección de datos).
Como explica Viviane Reding, vicepresidenta de la Comisión y comisaria de Justicia, Derechos Fundamentales y Ciudadanía y cara visible de la reforma, el 72% de los europeos admiten estar preocupados por la forma en que se usan sus datos personales. Esta falta de confianza es interpretada por la comisaria como una lacra que hay que solventar. Confía en que la superación de este escollo favorecerá también a la industria.
Los principales puntos que rigen esta reforma giran sobre dos ejes: el aumento de la transparencia de las empresas y el refuerzo de la privacidad para los ciudadanos.En este marco, la Comisión Europea quiere que las políticas de privacidad sean sencillas y claras de entender (la propia comisaria admite no leerse los preceptos), llevar el derecho al olvido al ámbito digital y la creación de figuras específicas que velen por el funcionamiento de todo este engranaje.
El derecho al olvido es probablemente uno de los puntos más ambiciosos e imprecisos del proyecto. Europa quiere que este derecho ya recogido en las normativas nacionales, llegue al ámbito de la red. Esto implica que cuando un usuario así lo solicite, las compañías se verán obligadas a borrar su huella digital (desde fotografías a información personal en el caso de operadores).
Afectará, como toda la regulación presentada, tan sólo a compañías que operen en Europa. Pero, ¿cómo podrá saber el usuario final si sus datos han sido realmente borrados? Reding no habla de auditorías, sólo de sanciones. “Nosotros no regulamos servidores, regulamos empresas”, sentencia.
Una ley, un continente, una autoridad de protección de datos
Otra de las novedades es la creación de nuevas figuras dedicadas únicamente a la supervisión de la protección de datos.
Las empresas de más de 250 empleados deberán nombrar a un responsable de protección de datos (Data Protection Officer). En el caso de compañías más pequeñas podrán compartir un mismo DPO. Además, cada país dispondrá de una autoridad “independiente de empresas y Gobiernos” con este mismo fin. No se especifica tampoco cómo afectará la medida a los actuales mecanismos de protección de datos (en el caso español, la Agencia Nacional de Protección de Datos), ni cómo se solventará el probable choque de competencias.
“No hablamos de añadir más gente, sino de añadir más responsabilidad y formarla [a la persona en cuestión] en lo relativo a protección de datos”, asegura Marie-Helénè Boulanger, responsable de la Unidad de Protección de Datos de la Comisión Europea.
El objetivo pues: una norma, un continente, una autoridad de protección de datos. El hecho de que haya 27 países y una autoridad en cada uno de no implica que vaya a haber diferentes respuestas a un mismo problema. Reding habla de unidad ante los periodistas, e insiste en que habrá sólo una posible interpretación de la ley.
La reacción de las empresas
La Comisaria admite la existencia de presiones externas, lo que aún puede dejar abierta la posibilidad de que se modifique algún punto de la normativa. La regulación implica la adopción de una serie de compromisos por parte de las empresas que operan en el viejo continente. Una normativa única, gusta a las empresas; de esta forma no deben adaptar sus políticas a cada territorio, y permite el ahorro de costes.
Pero también se prevén nuevas exigencias. Habrá un aumento en la vigilancia de sus prácticas y la obligación de responder ante autoridades y usuarios en el caso de que haya un problema. Así, si hay un ataque externo por ejemplo, deben informar durante las 24h siguientes a las autoridades competentes y los usuarios de lo ocurrido. Se tendrá en cuenta cada caso de forma independiente y las sanciones se impondrán atendiendo a las especificaciones de cada uno de ellos. Si el problema se ha debido a una debilitada e insegura infraestructura, o si no se ha informado en el plazo establecido, habrá multas.
Jean Gonie, director de privacidad de Microsoft, asegura la norma es muy positiva, aunque admite que no están de acuerdo con el 100% de las propuestas, sin especificar detalles. No obstante, asevera que una regla única facilitará enormemente la forma de operar en Europa. Y con lo que respecta a las sanciones, es contundente. “Quien no se atenga a las normas sabe lo que le espera”, sentencia.